RPC, ovvero Remote Procedure Call, è un meccanismo di comunicazione di Windows che consente a un servizio o a un computer di chiedere a un altro sistema di eseguire una funzione come se fosse locale. È una parte fondamentale dell'amministrazione di Windows e della comunicazione tra processi, quindi spesso trasporta traffico di gestione legittimo che si confonde con le normali operazioni.
Nella sicurezza informatica, RPC è importante perché gli aggressori possono abusare dello stesso canale affidabile per attività successive alla compromissione come il movimento laterale, il controllo remoto dei servizi, l'abuso delle credenziali e l'escalation dei privilegi. I difensori monitorano RPC definendo una linea di base dei normali modelli amministrativi e correlando le chiamate remote con la telemetria dell'host, dell'utente e dei processi. Questo rende più facile individuare attività sospette quando RPC proviene da una macchina insolita, appare in un momento anomalo o si accompagna ad altri segnali di intrusione. Una buona visibilità su RPC aiuta a trasformare un normale protocollo del piano di controllo in un utile segnale di rilevamento.



